Brief IA : NGINX Rift : une faille de 2008 découverte par une IA menace le web

NGINX Rift : une faille de 2008 découverte par une IA menace le web

Brief IA
Tom Levy·4 min·5 vues

Un bug de 2008, identifié par la start-up DepthFirst en seulement six heures le 18 avril 2026, pourrait affecter jusqu'à 33% du web. Ce débordement de tas dans NGINX, noté 9,2 sur 10 sur l'échelle CVSS v4, souligne l'importance des solutions d'analyse automatisée pour détecter rapidement des vulnérabilités critiques.

En bref
1Une faille critique dans NGINX, introduite en 2008, a été découverte par une IA en seulement six heures.
2DepthFirst a révélé que le bug permet un débordement de tas, affectant potentiellement un tiers des sites web mondiaux.
3Des correctifs sont disponibles, mais un déni de service reste possible si les configurations ne sont pas mises à jour.
💡Pourquoi c'est importantCette découverte met en lumière l'efficacité croissante des IA pour identifier des vulnérabilités critiques dans des logiciels largement utilisés.
Le brief IA que lisent les pros

Tu suis la course aux modèles IA ?

Chaque sortie (GPT, Claude, Gemini, Mistral…) décryptée le soir même, en 5 min. Gratuit.

Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.

Choisis ton rythme

Gratuit · Pas de spam · Désabonnement en 1 clic

📄
L'analyse en français

Une faille critique révélée par l'intelligence artificielle

Pendant dix-huit ans, un bug est resté enfoui dans le code de NGINX, échappant à des milliers d'audits humains. Cependant, un système d'analyse automatique a réussi à le détecter en seulement six heures. Le 13 mai 2026, F5 a publié un avis de sécurité concernant CVE-2026-42945, une vulnérabilité de débordement de tas dans le module de réécriture d'URL de NGINX, notée 9,2 sur l'échelle CVSS v4. Ce bug, introduit dans la version 0.6.27 sortie en 2008, a traversé des centaines de mises à jour et a alimenté environ un tiers des sites web mondiaux sans être remarqué. C'est la start-up DepthFirst, spécialisée dans l'analyse de code par intelligence artificielle, qui l'a identifié le 18 avril 2026 lors d'une session de scan automatique.

Un débordement de tas déclenché par une simple requête HTTP

La faille se manifeste lorsque NGINX traite une règle de réécriture contenant un point d'interrogation dans la chaîne de remplacement. Le calcul de la taille du buffer de destination est basé sur une hypothèse, mais la copie des données se fait sous une autre, ce qui entraîne un débordement de tas. Les conditions préalables sont spécifiques : une capture PCRE non nommée, un point d'interrogation dans le remplacement, et une directive supplémentaire dans la même portée. Cependant, ces conditions sont suffisamment courantes pour affecter un grand nombre de configurations en production.

DepthFirst a publié un proof-of-concept sur GitHub, démontrant qu'une simple requête HTTP peut suffire à crasher un worker NGINX, entraînant un déni de service fiable. Bien que l'exécution de code à distance soit théoriquement possible via un « Heap Feng Shui » inter-requêtes, l'équipe d'AlmaLinux a souligné que la PoC publiée ne fonctionne de manière fiable qu'avec l'ASLR désactivé. En conditions réelles, le scénario le plus probable reste le DoS. Cela est particulièrement préoccupant pour un logiciel qui propulse un tiers des serveurs web mondiaux selon W3Techs, et près de 47 % du top 1 000 des sites les plus visités.

Mesures correctives et vulnérabilités associées

Des versions correctives sont disponibles pour corriger cette vulnérabilité : NGINX Open Source 1.31.0 (mainline) et 1.30.1 (stable), ainsi que NGINX Plus R36 P4 et R32 P6. En attendant l'application des correctifs, il est conseillé de remplacer les captures non nommées ($1, $2) par des captures nommées dans les règles de réécriture. Lors de la même session de scan, trois autres vulnérabilités ont été découvertes, dont CVE-2026-42946, une allocation mémoire excessive pouvant atteindre 1 To dans les modules SCGI/UWSGI, notée 8.3 sur l'échelle CVSS.

Le club des failles oubliées accueille un nouveau membre

NGINX Rift rejoint une liste de failles oubliées qui ont été découvertes après des années d'audits. Parmi elles, PwnKit (CVE-2021-4034), qui a passé 12 ans dans Polkit pkexec avant d'être découverte par Qualys en 2022, SinkClose (CVE-2023-31315), qui a existé environ 20 ans dans les processeurs AMD avant d'être révélée à la DEF CON 2024 par IOActive, et la faille 0.0.0.0-day, restée 18 ans dans Chrome, Firefox et Safari avant d'être exposée par Oligo Security en août 2024. Ces failles partagent un profil similaire : des bugs enfouis si profondément dans une couche logicielle fondamentale que des années d'audits successifs les ont intégrés au décor sans les questionner.

La particularité de NGINX Rift réside moins dans la faille elle-même que dans la méthode de découverte. DepthFirst décrit son outil comme un système d'analyse statique autonome alimenté par un modèle de langage, capable de scanner une base de code C/C++ de grande taille après un simple onboarding du dépôt source. Google DeepMind avait ouvert la voie fin 2024 avec Big Sleep (ex-Naptime), qui avait trouvé une vulnérabilité réelle dans SQLite. Mais c'était un cas isolé, en laboratoire. Ici, on parle de quatre CVE dans un projet open source critique, trouvées en une session commerciale de six heures. La trajectoire se dessine : 2024, les preuves de concept en labo. 2025, les outils internes des éditeurs. 2026, le premier scalp open source majeur.

Pour les hébergeurs français comme OVHcloud, Scaleway, Infomaniak et Gandi, qui utilisent massivement NGINX en frontal de leurs offres mutualisées et de leurs load balancers, le message est clair : patcher vers 1.31.0 ou 1.30.1 sans attendre, et vérifier les configurations de réécriture en production. AlmaLinux a poussé les correctifs dès le 14 mai pour l'ensemble de ses streams, y compris les versions en fin de vie. Les machines qui tournent encore sur des paquets NGINX non maintenus n'auront pas cette chance.

Suivez Brief IA

L'actu IA du jour, aussi dans votre fil.

Commentaires